• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C无线控制器典型配置案例集(V5)-6W114

目录

39-AP本地认证典型配置举例(V5)

本章节下载 39-AP本地认证典型配置举例(V5)  (349.02 KB)

39-AP本地认证典型配置举例(V5)

AP本地认证典型配置举例(V5)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:6W114-20210416

 

Copyright © 2008-2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1  简介

本文档介绍AP本地认证典型配置举例。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解WLAN接入特性。

3  配置举例

3.1  组网需求

图1所示,某公司将AC部署在总部实现对分支机构无线网络的统一管理,总部通过VPN与分支机构跨公网进行业务互通,分支机构本地使用AP作为认证实体对客户端进行认证,该公司拥有两个公网地址,其中202.38.0.1分给总部,202.38.0.2分给分支机构,具体要求如下:

·     无论AP和AC正常连接或是连接出现故障时,都使用Local认证模式对分支机构的客户端进行802.1X认证。

·     将认证服务器部署在AP侧,保证分支机构和总部之间的网络通信出现故障时,已接入的802.1X客户端不会下线,可以继续访问本地资源。

·     由分支机构的网关Router B作为DHCP server为AP和Client分配IP地址。

图1 AP本地认证组网图

设备

接口

IP地址

设备

接口

IP地址

AC

Vlan-int100

182.100.1.100/16

Router B

GE0/1

192.168.1.1/24

 

Vlan-int200

182.200.1.100/16

 

GE0/2

202.38.0.2/24

Router A

GE0/1

182.100.1.1/24

 

 

 

 

GE0/2

202.38.0.1/24

 

 

 

 

3.2  配置思路

·     在本地PC上编辑AP配置文件,并保存为txt文档格式,上传到AC的存储器上,AC与AP建立LWAPP隧道正常连接之后,会将AP配置文件下发到AP。

·     由于总部与分支机构跨公网进行通信,因此需要在总部和分支机构的网关路由器分别配置NAT功能,实现公网地址与私网地址的转换。

·     在RADIUS server上配置AP为接入认证设备。

3.3  配置注意事项

·     配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。

·     本地认证功能是Remote AP功能的增强,所以要本地认证功能生效,必须要保证Remote AP已经开启。

·     编辑AP配置文件时需注意,如果文件的某个命令行后面有Tab键,或者大量空格时,就会出现该行配置无法生效的情况。

3.4  配置步骤

3.4.1  配置AC

(1)     使用文本文档编辑AP的配置文件,将配置文件命名为map.txt,并将配置文件上传到AC存储介质上。配置文件内容和格式如下:

port-security enable

vlan 200

interface GigabitEthernet1/0/1

port link-type hybrid

port hybrid vlan 200 tagged

port hybrid vlan 1 untagged

dot1x authentication-method eap

radius scheme imc

primary authentication 192.168.1.100

primary accounting 192.168.1.100

key authentication simple 123456

key accounting simple 123456

user-name-format without-domain

domain system

authentication default radius-scheme imc

authorization default radius-scheme imc

accounting default radius-scheme imc

(2)     配置AC的接口

# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。

<AC> system-view

[AC] vlan 100

[AC-vlan100] quit

[AC] interface vlan-interface 100

[AC-Vlan-interface100] ip address 182.100.1.100 16

[AC-Vlan-interface100] quit

# 创建VLAN 200作为WLAN-ESS接口的缺省VLAN,同时作为Client接入的业务VLAN,并为该接口配置IP地址。

[AC] vlan 200

[AC-vlan200] quit

[AC] interface vlan-interface 200

[AC-Vlan-interface200] ip address 182.200.1.100 16

[AC-Vlan-interface200] quit

(3)     配置无线服务和认证

# 创建WLAN-ESS接口1,并进入该接口视图。

[AC] interface wlan-ess 1

# 在WLAN-ESS接口1上配置802.1X用户的强制认证域system,注意这里的强制认证域必须和AP配置文件中创建的ISP域保持一致。

[AC-WLAN-ESS1] dot1x mandatory-domain system

# 配置端口安全模式为userlogin-secure-ext,并使能端口11key类型的密钥协商功能。

[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext

[AC-WLAN-ESS1] port-security tx-key-type 11key

# 关闭802.1X多播触发功能和在线用户握手功能。

[AC-WLAN-ESS1] undo dot1x multicast-trigger

[AC-WLAN-ESS1] undo dot1x handshake

# 配置端口的链路类型为Hybrid。

[AC-WLAN-ESS1] port link-type hybrid

# 配置当前Hybrid端口的PVID为200,禁止VLAN 1通过并允许VLAN 200不带tag通过。

[AC-WLAN-ESS1] port hybrid pvid vlan 200

[AC-WLAN-ESS1] undo port hybrid vlan 1

[AC-WLAN-ESS1] port hybrid vlan 200 untagged

# 使能接口的MAC VLAN功能。

[AC-WLAN-ESS1] mac-vlan enable

[AC-WLAN-ESS1] quit

# 创建服务模板1(加密类型服务模板),配置SSID为local1x,加密方式为AES-CCMP。

[AC] wlan service-template 1 crypto

[AC-wlan-st-1] ssid local1x

[AC-wlan-st-1] bind WLAN-ESS 1

[AC-wlan-st-1] cipher-suite ccmp

[AC-wlan-st-1] security-ie rsn

# 配置使用Local认证模式。

[AC-wlan-st-1] authentication-mode local

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

# 创建型号为WA2620E-AGN的AP模板名为ap1,指定其序列号为21023529G007C000020。

[AC] wlan ap ap1 model WA2620E-AGN

[AC-wlan-ap-ap1] serial-id 21023529G007C000020

# 开启Remote AP功能。

[AC-wlan-ap-ap1] hybrid-remote-ap enable

# 将配置文件map.txt绑定到ap1。

[AC-wlan-ap-ap1] map-configuration map.txt

# 将服务模板1绑定到AP 1的radio 2口。

[AC-wlan-ap-ap1] radio 2 type dot11gn

[AC-wlan-ap-ap1-radio-2] service-template 1

[AC-wlan-ap-ap1-radio-2] radio enable

[AC-wlan-ap-ap1-radio-2] quit

[AC-wlan-ap-ap1] quit

3.4.2  Router A的配置

(1)     配置Router A接口

<RouterA> system-view

[RouterA] interface gigabitethernet 0/1

[RouterA-GigabitEthernet0/1] ip address 182.100.1.1 24

[RouterA-GigabitEthernet0/1] quit

[RouterA] interface gigabitethernet 0/2

[RouterA-GigabitEthernet0/2] ip address 202.38.0.1 24

[RouterA-GigabitEthernet0/2] quit

(2)     配置NAT功能

# 配置一对一静态地址转换映射。

[RouterA] nat static 182.100.1.1 202.38.0.1

# 配置的静态地址转换在接口GigabitEthernet0/2上生效。

[RouterA] interface gigabitethernet 0/2

[RouterA-GigabitEthernet0/2] nat outbound static

[RouterA-GigabitEthernet0/2] quit

3.4.3  Router B的配置

(1)     配置Router B的接口

<RouterB> system-view

[RouterB] interface gigabitethernet 0/1

[RouterB-GigabitEthernet0/1] ip address 192.168.1.1 24

[RouterB-GigabitEthernet0/1] quit

[RouterB] interface gigabitethernet 0/2

[RouterB-GigabitEthernet0/2] ip address 202.38.0.2 24

[RouterB-GigabitEthernet0/2] quit

(2)     配置DHCP服务器

# 使能DHCP功能

[RouterB] dhcp enable

# 创建名为vlan100的DHCP地址池,配置地址池动态分配的网段为192.168.1.0/24,网关地址为192.168.1.1,为AP和CLient分配IP地址。

[RouterB] dhcp server ip-pool vlan100 extended

[RouterB-dhcp-pool-vlan100] network 192.168.1.0 mask 255.255.255.0

[RouterB-dhcp-pool-vlan100] gateway-list 192.168.1.1

[RouterB-dhcp-pool-vlan100] quit

(3)     配置NAT功能

# 配置ACL 2000,仅允许对192.168.1.0/24网段的用户报文进行地址转换。

[RouterB] acl number 2000

[RouterB-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[RouterB-acl-basic-2000] quit

# 创建地址组1。

[RouterB] nat address-group 1

# 添加地址组成员202.38.0.2。

[RouterB-nat-address-group-1] address 202.38.0.2 202.38.0.2

[RouterB-nat-address-group-1] quit

# 在接口GigabitEthernet0/2上配置入方向动态地址转换,允许使用地址组1中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。

[RouterB] interface gigabitethernet 0/2

[RouterB-GigabitEthernet0/2] nat inbound 2000 address-group 1

# 在接口GigabitEthernet0/2上配置出方向动态地址转换,允许使用地址组1中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。

[RouterB-GigabitEthernet0/2] nat outbound 2000 address-group 1

[RouterB-GigabitEthernet0/2] quit

3.4.4  RADIUS服务器的配置

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),说明RADIUS服务器的基本配置。

 

# 增加接入设备。

登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入“接入设备配置”页面,在该页面中单击<增加>按钮,进入“增加接入设备”页面。

·     设置与AP交互报文时使用的认证、计费共享密钥为“123456”;

·     设置认证及计费的端口号分别为“1812”和“1813”;

·     选择业务类型为“LAN接入业务”;

·     选择接入设备类型为“H3C”;

·     在设备列表中,单击<手工增加>按钮,添加接入设备AP的IP地址为192.168.1.2(可以在AC上通过display wlan ap address命令查看);

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图2 增加接入设备

 

#增加接入策略。

选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入“接入策略配置”页面,在该页面中单击<增加>按钮,进入“增加接入策略”页面。

·     输入接入策略名“dot1x auth”;

·     业务分组“未分组”;

·     证书认证选择所需要认证的类型;

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图3 增加接入策略

 

# 增加接入服务配置。

选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入“接入服务配置”页面,在该页面中单击<增加>按钮,进入“增加接入服务”页面。

·     输入服务名“dot1x auth”;

·     业务分组“未分组”;

·     缺省接入策略“dot1x auth”;

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图4 增加接入服务

 

# 增加接入用户。

选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入“接入用户列表”页面,在该页面中单击<增加>按钮,进入“增加接入用户”页面。

·     在增加接入用户页面,单击<增加用户>按钮弹出增加用户窗口;

·     输入用户名“admin”;

·     输入证件号码“12345”;

·     单击<检查是否可用>按钮;

·     如用户姓名和证件号码可用,单击<确定>按钮完成操作。

图5 增加用户

 

·     输入账号名“localuser”;

·     输入密码“123456”;

·     在接入服务处选择“dot1x auth”;

·     其他配置保持默认;

·     单击<确定>按钮完成操作。

图6 增加接入用户

 

 

3.5  验证配置

·     无论AP和AC正常连接或是连接出现故障时,都使用Local认证模式对分支机构的客户端进行远程802.1X认证。当AP和AC正常连接,在AC上使用命令display wlan client verbose,显示信息中authentication-mode字段显示Local,表示由AP作为认证实体对该客户端进行认证。

[AC] display wlan client verbose

 Total Number of Clients           : 1

                              Client Information

--------------------------------------------------------------------------------

 MAC Address                       : 2477-0341-da70

 User Name                         : localuser

 IP Address                        : 182.200.0.2

 AID                               : 1

 AP Name                           : ap1

 Radio Id                          : 2

 Antenna Id                        : 0

 Service Template Number           : 1

 SSID                              : local1x

 BSSID                             : d4c9-efe4-e330

 Port                              : WLAN-DBSS1:0

 VLAN                              : 200

 State                             : Running

 Power Save Mode                   : Active

 Wireless Mode                     : 11gn

 Channel Band-width                : 20MHz

 SM Power Save Enable              : Disabled

 Short GI for 20MHz                : Supported

 Short GI for 40MHz                : Not Supported

 LDPC                              : Not Supported

 STBC TX capability                : Not Supported

 STBC RX capability                : Supported

 Support MCS Set                   : 0,1,2,3,4,5,6,7,8,9,

                                     10,11,12,13,14,15,16,17,18,19,

                                     20,21,22,23

 QoS Mode                          : WMM

 Listen Interval (Beacon Interval) : 100

 RSSI                              : 43

 Rx/Tx Rate                        : 24/195

 Client Type                       : WPA2(RSN)

 Authentication Method             : Open System

 Authentication Mode               : Local

 AKM Method                        : Dot1X

 Key Derivation                    : SHA1

 4-Way Handshake State             : PTKINITDONE

 Group Key State                   : IDLE

 Encryption Cipher                 : AES-CCMP

 PMF Status                        : -NA-

 Roam Status                       : Normal

 Roam Count                        : 0

 Up Time (hh:mm:ss)                : 00:00:50

----------------------------------------------------------------------

·     由于客户端使用AP本地认证上线,所以在AC上使用display connection命令查看客户端,不会查看到客户端信息。

[AC] display connection

 Total 0 connection(s) matched.

3.6  配置文件

·     AC:

#

 port-security enable

#

vlan 100

#

vlan 200

#

wlan service-template 1 crypto

 ssid local1x

 bind WLAN-ESS 1

 cipher-suite ccmp

 security-ie rsn

 authentication-mode local

 service-template enable

#

interface Vlan-interface1

 ip address 8.182.1.100 255.255.0.0

#

interface Vlan-interface100

 ip address 182.100.1.100 255.255.0.0

#

interface Vlan-interface200

 ip address 182.200.1.100 255.255.0.0

#

interface GigabitEthernet1/0/1

 port link-type trunk

 port trunk permit vlan all

#

interface WLAN-ESS1

 port link-type hybrid

 undo port hybrid vlan 1

 port hybrid vlan 200 untagged

 port hybrid pvid vlan 200

 mac-vlan enable

 port-security port-mode userlogin-secure-ext

 port-security tx-key-type 11key

 undo dot1x handshake

 dot1x mandatory-domain system

 undo dot1x multicast-trigger

#

wlan ap ap1 model WA2620E-AGN id 1

 map-configuration map.cfg

 serial-id 21023529G007C000020

 hybrid-remote-ap enable

 radio 1

 radio 2

  service-template 1

  radio enable

#

ip https ssl-server-policy access-policy

 ip https enable

#

·     Router A:

#

 nat static 182.100.1.1 202.38.0.1

#

interface GigabitEthernet0/1

 port link-type route

 ip address 182.100.1.1 255.255.255.0

#

interface GigabitEthernet0/2

 port link-type route

 ip address 202.38.0.1 255.255.255.0

 nat outbound static

#

·     Router B:

#

 dhcp enable

#

dhcp server ip-pool vlan100 extended

 network 192.168.1.0 mask 255.255.255.0

 gateway-list 192.168.1.1

#

interface GigabitEthernet0/1

 port link-type route

 ip address 192.168.1.1 255.255.255.0

#

interface GigabitEthernet0/2

 port link-type route

 ip address 202.38.0.2 255.255.255.0

 nat outbound 2000 address-group 1

 nat inbound 2000 address-group 1

#

acl number 2000

 rule permit source 192.168.1.0 0.0.0.255

#

nat address-group 1

 address 202.38.0.2 202.38.0.2

#

4  相关资料

·     《H3C无线控制器产品 配置指导》中的“WLAN配置指导”。

·     《H3C无线控制器产品 命令参考》中的“WLAN命令参考”。

·     《H3C无线控制器产品 配置指导》中的“安全配置指导”。

·     《H3C无线控制器产品 命令参考》中的“安全命令参考”。

·     《H3C无线控制器产品 配置指导》中的“三层技术配置指导”。

·     《H3C无线控制器产品 命令参考》中的“三层技术命令参考”。

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们